Disable Windows 10 Tracking

Hola a tod@s

El flamante Windows 10, sus nuevas características y mejoras, pero  que hay de la avalancha de comentarios negativos, estos no han cesado acusando al gigante de no respetar la privacidad de los usuarios, sin embrago desde Microsoft sostiene que esas opciones sólo están destinadas a mejorar la experiencia de los usuarios.


Como siempre suele pasar, nadie y me incluyo leemos las políticas de privacidad y acuerdos de servicio.  La recopilación de información que se suministra a Windows es bestial.

  • Sincronización de datos por defecto: Microsoft sincroniza la configuración y datos por defecto con sus servidores. Esto envuelve, al historial del navegador, la selección de favoritos, sitios donde introducir nombres de usuario y password, caché de aplicaciones e inclusive datos sobre el wifi en el que estamos conectados.
  • Cortana: Se trata de un buscador y obviamente al igual que Google, estamos constantemente haciéndole saber a Microsoft cuáles son nuestros intereses de búsqueda.
  • Publicidad ID: Ídem que Google, en función de tus búsquedas, por ejemplo, te llegará una publicidad personalizada.

Por ello 10se1ucgo ha desarrollado una herramienta gratuita bautizada por nombre DisableWinTracking su función es deshabilitar el seguimiento de Windows 10 y dejar de mandar información a Microsoft, o al menos eso afirma el creador.



Una vez descargada la aplicación, es sumamente sencilla de ejecutar, simplemente elegir las opciones a deshabilitar, (recomiendo todas) y pulsar el botón Get Privacy! A continuación reiniciar y listo.


Para más información y descargar la herramienta visitad el siguiente enlace:


No seáis malos. 

Juguetes Hacking VI

Hola a tod@s

En esta ocasión os traigo un nuevo juguete con el que jugar o realizar auditorías de ingeniería social, similar a un keylogger, pues se pincha detrás del PC pasando totalmente desapercibido.
 



De los creadores de Rubber Ducky os presento a LAN Turtle, esta es una herramienta de administración de sistemas y pruebas de penetración que se oculta en el sistema proporcionado acceso remoto, recopilación de datos, reconocimiento de red y capacidades de monitoreo tales como man in the middle. Ubicado dentro de una caja de adaptador genérico de Ethernet USB,  que otorga a la tortuga un aspecto que puede pasar totalmente de desapercibido, lo que permite que se mimetice en muchos entornos.

Una vez la victima hace uso de su ordenador personal sin percatarse de nada nosotros podemos obtener un shell en el servidor principal o cloud VPS sobre SSH, OpenVPN, Meterpreter y mucho más.

La herramienta dispone de varios módulos como, nmap-scan, meterpreter o dns-spoof entre otros. Además, si estas interesado puedes crear módulos escritos en bash, python o PHP y compartir con la comunidad de la tortuga.

Para concluir os dejo con una demostración visual del potencial de esta herramienta.

 

No seáis malos. 






Fuentes: http://hakshop.myshopify.com/collections/lan-turtle/products/lan-turtle?variant=3862428037
 

Automated human vulnerabillity scanning with AVA

Hola a tod@s

En la pasada BlackHat del pasado mes de agosto, hubo una herramienta que me llamo poderosamente la atención por las siguientes cuestiones:

  1. Se trata de una herramienta de código abierto.
  2. Se trata una herramienta de ingeniería social, una de mis disciplinas favoritas.
  3. Es posible medir el nivel de concienciación de la empresa y comprobar si ha surgido efecto las campañas de formación de seguridad asignada a sus empleados. 


Esta gran herramienta ha sido ideada por Laura Bell, presidenta de la compañía SafeStack. AVA es un escáner de vulnerabilidad de nueva generación diseñado para realizar pruebas de seguridad a humanos o lo que es lo mismo ingeniería social. El sistema Ava les envía mensajes de phishing para comprobar si son capaces de identificarlos o si, por el contrario, son víctimas de ellos y por tanto pueden llegar a poner en peligro la información corporativa.

La herramienta también posibilita enviar mensajes a través de redes sociales. Entre los mensajes de phishing que remite, se encuentran las peticiones de contraseñas de un empleado a su superior, o las que solicitan compartir documentos en redes sociales.

Para cumplir con su función, Ava recoge datos de los sistemas informáticos corporativos, y con ellos revisa los permisos con los que cuentan los empleados, así como la frecuencia con la que se comunican entre ellos. También detecta relaciones entre las personas en redes sociales que puede resultar una información valiosa para el atacante.

Según explico Laura Bell, el objetivo de Ava es permitir a las organizaciones constatar periódicamente los patrones de conducta de sus empleados, así como las relaciones clave, medir el impacto de las pruebas, identificar patrones de comportamiento y conocer los efectos reales de ataques de seguridad contra su empresa. Comparar resultados entre departamentos y medir la efectividad de la capacitación y campañas de sensibilización.


Fuentes:
https://www.blackhat.com/docs/us-15/materials/us-15-Bell-Automated-Human-Vulnerability-Scanning-With-AVA.pdf

No seáis malos. 

No me llames Dolores, llámame Supercookie

Supercookies: un nuevo palabro para una nueva forma hacer seguimiento a usuarios de móviles.

Derivado de las ya famosas cookies de seguimiento. Estas han sido y son utilizadas para múltiples propósitos: recordar que un usuario está logeado en una web, personalizar el aspecto de la página visitada por las preferencias de usuario, identificar temas de interes del usuario dentro de la web, etc...

Aunque, ¿a quién le interesa personalizar el aspecto de una web gracias a una cookie pudiendo mejor utilizarla para hacer dinero?

Desde el punto de vista de un anunciante, presentarle a un usuario publicidad orientada a sus gustos, intereses o preocupaciones siempre es más rentable que esparcir publicidad a lo loco a todos los navegantes. Estos gustos e intereses suelen extraerse de multitud de fuentes como redes sociales, encuestas, plataformas de firma por una causa noble (change.org o similares), etc. Pero de donde más suelen sacarse es de las llamadas cookies de terceros o tracking cookies.

La desventaja de estas cookies desde el punto de vista de un anunciante es que se guardan en la parte cliente, es decir, en el ordenador del usuario, teniendo este el control, en mayor o menor medida (véase Evercookie) para eliminarlas y frenar el seguimiento por parte de los anunciantes.

Pero como es normal, hecha la ley, hecha la trampa y ahora entran en juego también los ISP que dan acceso a tu móvil o pincho a Internet. Una investigación realizada por Deji OlukotunGustaf BjörkstenPeter Micek ha demostrado que algunos proveedores de Internet están inyectando cabeceras a las conexiones HTTP (no HTTPS) con un identificador del usuario de la conexión. Esto permitiría al servidor de destino identificar un usuario, independientemente de que este haya borrado previamente las cookies en su ordenador, ya que estas cabeceras son inyectadas por el camino por parte del ISP y en ningún momento están a disposición del usuario móvil.

Un resumen de como funcionan se puede observar en el paper disponible en http://amibeingtracked.com:



Para comprobar si tu ISP está inyectando cabeceras de seguimiento o supercookies en tu conexión móvil, tan solo tienes que visitar su web http://amibeingtracked.com con una conexión 3G, 4G o LTE y darle al boton de "Test Now". Te dirá si estás siendo seguido por tu ISP o no.



<autobombo mode="on">
Si quieres más información a parte de un SÍ o NO estás siendo seguido, puedes visitar http://felmoltor.info/supercookies con tu móvil y te dirá a través de qué cabeceras te está haciendo el seguimiento tu ISP:




No olvides guardar los resultados pulsando el botón "Almacenar Información de Seguimiento". Si guardas esta información nos será útil para analizar qué ISPs españoles están haciendo este seguimiento y solicitarles justificación de esta práctica ilegal (utilizar cookies de seguimiento sin el consentimiento ni conocimiento del usuario). 
</autobombo>

Editado 11/09/2015: Hay indicios de que ayer día 10/09/2015, Telefónica desactivó sus cabeceras de seguimiento "TM_user-id"y "x-up-subno". 


Liberando algunas vulnerabilidades - Ultimate Product Cataloge v2.1.2 (II de II)

Hace ya un tiempo que escribí la primera parte de de este artículo, en él os hablaba de unas vulnerabilidades del plugin de Wordpress llamado Ultimate Product Catalogue en una versión menor o igual a la 3.1.4.
En su momento publiqué un par de SQL Injections sin autenticar [1][2]y hoy toca hablar de una especie de combo XSS + CSRF + File Upload descrito en el POC de de exploit-db [3] y el vídeo de youtube [4].

La utilidad básica de este plugin es publicar un catálogo de productos para vender y presentar en tu blog wordpress.

Ninguno de los formularios de este plugin cuenta con protección contra CSRF, es decir, que en el momento que un administrador o colaborador de la web visite un enlace a una web especialmente creada para esto, podría provocar, entre otras cosas, acciones en la parte de administración de este plugin, como podría ser cambiar los detalles de un producto como precio, título, descripción, o lo que es peor, inyectar código javascript en estos campos, ya que estos no se filtran en ningún momento. Por lo tanto, se podría conseguir mediante una visita del administrador a una web de perros gansta que modificara atributos de un producto a la venta para servir código HTML o javascript a todos los visitantes del blog que visitaran este catálogo de productos (1º combo: CSRF + XSS).

Por otro lado, contamos con la funcionalidad de subida de excels o CSV sin protección CSRF ni comprobación del tipo de fichero que se sube, dando como resultado la la posibilidad de que un administrador visitara una web de perros molones terminara subiendo un backdoor PHP en el servidor (2º combo: CSRF + File Upload).

En el siguiente vídeo se observa un POC de lo anterior, está editado regular, así que es posible que para pillar los detalles tengas que pararlo de vez en cuando:



La empresa está notificada desde hace tiempo y ambas vulnerabilidades solucionadas.

[1] https://www.exploit-db.com/exploits/36823/
[2] https://www.exploit-db.com/exploits/36824/
[3] https://www.exploit-db.com/exploits/36907/
[4] https://www.youtube.com/watch?v=roB_ken6U4o